OpenSSL を使って自己署名証明書を作成する

OpenSSL を使って自己署名証明書を作成します。 ## 環境 - Windows 10 Pro 64bit ## OpenSSL のインストール [公式サイト](https://www.openssl.org/)には Windows 用のインストーラーがないので、以下からダウンロードします。 - http://slproweb.com/products/Win32OpenSSL.html ウィザードに従ってインストールします。 インストールが完了したら、以下のコマンドを入力して確認します。 ```sh > openssl version ``` ## 自己署名証明書の作成 ### 秘密鍵の作成 以下のコマンドは公開鍵暗号方式として RSA を利用した 2048bit の秘密鍵 `server.key` を作成しています。 ```sh > openssl genrsa -out server.key 2048 ``` ### 証明書署名要求の作成 証明書署名要求 (CSR: Certificate Signing Request) は、認証局に対して自身のサーバーの公開鍵に電子署名（認証局の秘密鍵で署名）してもらうよう要求するメッセージだそうです。 以下のコマンドで、先ほど作成した秘密鍵 `server.key` を指定して証明書署名要求 `server.csr` を作成しています。 （秘密鍵から勝手に公開鍵を取り出して作成してくれるらしいです） ```sh > openssl req -out server.csr -key server.key -new ``` するといろいろ聞かれるので、適当に入力します。 ```sh Country Name (2 letter code) [AU]: ``` 国名です。日本の場合は `JP` と入力します。 ```sh State or Province Name (full name) [Some-State]: ``` 都道府県名です。 `Tokyo` などと入力します。 ```sh Locality Name (eg, city) []: ``` 市区町村名です。 ```sh Organization Name (eg, company) [Internet Widgits Pty Ltd]: ``` 組織名です。会社名や団体名などを入力します。 ```sh Organizational Unit Name (eg, section) []: ``` 部門名や部署名などです。 ```sh Common Name ``` サイトのURL（SSL/TLS接続の際のURL：FQDN）を入力します。 `https://hoge.example.jp/` の場合、`hoge.example.jp` と入力します。 ```sh Email Address []: ``` メールアドレスを入力します。 ```sh Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ``` ```sh An optional company name []: ``` 証明書署名要求ファイル (server.csr) が出力されます。 ### サーバー証明書の作成 通常は上記で作成した証明書署名要求 `server.csr` を VeriSign などの機関に送付して認証局の秘密鍵で電子署名してもらいますが、今回は自己署名証明書ということで、自分の秘密鍵 `server.key` で署名してサーバー証明書を作成します。 以下のコマンドは、有効期限が 10 年間のサーバー証明書 `server.crt` を作成しています。 ```sh > openssl x509 -req -days 3650 -signkey server.key -in server.csr -out server.crt ``` ## 参考 URL - https://weblabo.oscasierra.net/openssl-gencert-1/ - http://d.hatena.ne.jp/ozuma/20130511/1368284304 - https://qiita.com/ll_kuma_ll/items/13c962a6a74874af39c6 - http://tech.sanwasystem.com/entry/2015/08/31/234131 - https://www.geotrust.co.jp/support/ssl/csr/apache_openssl_new.html